- Virus que ha suplantado la identidad del SAT y que se ha distribuido a través de correos electrónicos.
La unidad de investigación de SILIKN ha identificado una nueva campaña del troyano bancario Grandoreiro, que se distribuye a través de correos electrónicos de phishing suplantando la identidad del Servicio de Administración Tributaria (SAT). A diferencia de ataques anteriores, donde los ciberdelincuentes empleaban direcciones de correo falsas o similares a las oficiales, en esta ocasión los mensajes provienen de cuentas legítimas utilizadas para recibir notificaciones fiscales. Sin embargo, contienen enlaces maliciosos que buscan comprometer a los destinatarios. Debido a que estos correos son verificados, logran evadir la detección de la mayoría de los antivirus y soluciones antimalware.
El correo redirige a esta URL, por lo que se puede clasificar como sospechoso y potencialmente malicioso: https://vmi2486519.contaboserver.net/?_task=mail&_action=get&_mbox=INBOX&_uid=6694&_token=acfded23f5af01b90368725dd9e6c14dbfdd76375779124b5b210220740735d3&_part=5.6.8&_embed=1&_mimeclass=image
Al hacer clic en el enlace, se redirige a una página que muestra el mensaje «Documentación Acta en PDF» e incluye un botón para descargar el archivo PDF. Es importante NO hacer clic en el botón bajo ninguna circunstancia.
El dominio contaboserver.net pertenece a Contabo GmbH, un proveedor de hosting alemán, y el subdominio vmi2486519.contaboserver.net corresponde a un servidor VPS alojado en su infraestructura, utilizado por distintos clientes para alojar sitios o servicios. La URL contiene parámetros que indican que se trata de una operación de correo electrónico, intentando recuperar un mensaje de la bandeja de entrada (_mbox=INBOX) con un identificador único (_uid=6694) y un posible token de autenticación. Además, hace referencia a una parte específica del correo (_part=5.6.8), sugiriendo que intenta cargar contenido embebido (_embed=1), en este caso, una imagen (_mimeclass=image).
El correo puede parecer verídico, pero se trata de un intento de phishing para robar credenciales o distribuir contenido malicioso. Entre los indicadores de riesgo se encuentran el uso de un servidor VPS de bajo costo en Contabo, común entre atacantes; la presencia de un token en la URL, que podría simular autenticación pero redirigir a una página falsa; y los parámetros _mimeclass=image y _embed=1, que podrían cargar una imagen con código malicioso o tracking pixels para monitorear al usuario.
Grandoreiro es un troyano bancario diseñado para robar credenciales de acceso a cuentas bancarias en línea y realizar fraudes financieros. Este malware se propaga principalmente a través de correos electrónicos de phishing, en los que se suplantan identidades legítimas, como las de instituciones financieras o servicios de pago.
Cuando el usuario hace clic en el enlace o adjunto malicioso, el troyano se instala en su dispositivo. Luego, se activa para monitorear las actividades en línea del usuario, como las transacciones bancarias, e intercepta las credenciales ingresadas en los sitios web de banca en línea. Además, puede modificar las transacciones, redirigir pagos o robar información confidencial.
Grandoreiro es especialmente peligroso porque, en muchos casos, es capaz de eludir medidas de seguridad como antivirus y sistemas de detección, utilizando técnicas avanzadas de ocultación y evasión.
Si se recibe un correo que aparenta ser del SAT e invita a cumplir obligaciones fiscales, pero contiene un enlace que redirige a vmi2486519.contaboserver.net, es sospechoso y potencialmente malicioso. No se debe hacer clic en el enlace ni descargar archivos adjuntos, se debe verificar que el remitente use el dominio oficial @sat.gob.mx y revisar la URL, ya que el SAT no usa servidores como Contabo. Si la URL contiene un token de autenticación, podría ser phishing. Es recomendable escanear el enlace en VirusTotal o URLScan, reportarlo al SAT (denuncias.fraude@sat.gob.mx) y eliminar el correo para evitar riesgos.
Fuente: Víctor Ruiz, fundador de SILIKN.
